Sophos Firewall DHCP Options (SFOS)
In dit artikel laten we zien hoe je bij een Sophos Firewall met het SFOS-besturingssysteem DHCP Options kunt configureren.
Update - 24 maart 2022
Sinds SFOS v18.5 MR3 zijn er DHCP Options in de GUI. Daardoor gaat de configuratie een stuk sneller en eenvoudiger.
Vereisten
- Sophos Appliance met SFOS
1. DHCP-server maken
Om DHCP Options mee te kunnen geven, heb je natuurlijk eerst een DHCP-server nodig. Die kun je via de admin-interface maken. Hoe dat werkt, heeft Sophos al in een eigen Knowledge Base-artikel uitgelegd:
- Sophos Firewall: How to configure the firewall as a DHCP-Server - https://community.sophos.com/kb/en-us/123133
Belangrijk: Bij de DHCP-naam kun je beter geen spaties of speciale tekens gebruiken. Neem bijvoorbeeld CamelCase of scheid met een koppelteken (-) of underscore (_).
2. Verbinden met de console
De DHCP Options vind je niet in de WebAdmin GUI. Je moet via SSH verbinding maken met de appliance om deze te zetten. Op Windows is er daarvoor PuTTY en op macOS kun je de al voorgeïnstalleerde Terminal gebruiken.
- Open Terminal op macOS en voer
ssh admin@192.168.1.1in de console in. Bij gebruik van Putty hoef je alleen het IP-adres in te voeren. Het IP-adres kan bij jouw firewall natuurlijk anders zijn. Daarna moet je nog je gebruikersnaam en wachtwoord invoeren om je via SSH op je firewall aan te melden. - Nadat je verbonden bent, kies je 4. Device Console om naar de shell te gaan.
DHCP Option Objects configureren
Sophos heeft hiervoor een eigen Knowledge Base-artikel geschreven, dat volgens ons niet heel eenvoudig te begrijpen is. Wat we aan dit artikel wel nuttig vinden, is de extra informatie over DHCP Options. Daarom linken we hier aanvullend naar de KB-post van Sophos, zodat je de volledige tabel met alle options kunt vinden: https://community.sophos.com/kb/en-us/123529
Voorbeeld 1 - deel 1
Heb je bijvoorbeeld het probleem dat bij een Sophos RED 15w op een externe locatie het geïntegreerde Access Point niet wordt herkend? We nemen dit geval als voorbeeld en lopen door hoe je hiervoor een DHCP Option kunt maken.
DHCP Option definiëren
Voordat je de option met data kunt vullen, moet je eerst een option definiëren. Het commando ziet er zo uit:
system dhcp dhcp-options add optioncode optionname optiontype
- Nr: Hier definieer je de optioncode. Er bestaan in totaal 255 van deze optioncodes. In de KB Post 123529 van Sophos vind je het commando om alle optioncodes in Terminal weer te geven.
- SAMPLE-NAME: Hier kun je een voor jou logische naam invoeren die de option het duidelijkst beschrijft.
- TYPE: Hier definieer je het type dat later voor je option nodig is. Je kunt kiezen uit de volgende types: array-of, boolean, four-byte, ipaddress, one-byte, string, two-byte
Belangrijk: In mijn voorbeelden de haakjes verwijderen.
Het werkende commando voor ons voorbeeld ziet er nu zo uit:
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
Voorbeeld 1 - deel 2
Nadat de option is gedefinieerd, geven we nog de data mee. Het commando ziet er zo uit:
system dhcp dhcp-options binding add dhcpname optionname (234) value
- DHCP-NAME: Hier geef je de naam van de DHCP-server op die je via de GUI hebt gemaakt.
- SAMPLE-NAME: Voer dezelfde naam in als eerder. De spelling moet exact overeenkomen.
- WAARDE: Als waarde wordt hier een IP-adres verwacht. Voor ons RED-voorbeeld is dat het IP-adres van de RED 15w op de externe locatie.
Het werkende commando voor ons voorbeeld ziet er nu zo uit:
system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12
Verder voorbeeld
Nu is uitgelegd welke twee commando’s moeten worden uitgevoerd, tonen we hier een paar voorbeelden zodat je eenvoudiger je eigen Sophos Firewall DHCP Options kunt maken.
Met deze option geef je een ThinClient aan op welke server het image staat.
system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'
Dit commando geeft nu de poort mee waarop de ThinClient zich bij de server kan melden. Hier wordt als optiontype niet ipaddress maar string gekozen. In het beste geval geeft de fabrikant van het apparaat deze informatie mee.
system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'
Voorbeeld van Robert: WDS / PXE
DHCP Options kunnen je gek maken en je kunt uren zoeken naar de juiste commands. Collega Robert deelt hier zijn ervaring met ons (bedankt).
Deel 1: Je definieert wat precies moet worden geconfigureerd:
Een DHCP Options-waarde (IP) moet worden toegepast in het interne DHCP-bereik “Home_Scope” dat ik in de GUI heb geconfigureerd. De WDS-server luistert bij mij op IP: 172.16.16.11
system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11
Deel 2: Je definieert waar een client de Pre-Environment kan vinden:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com
Met Pre-Environment wordt een bootbestand bedoeld dat een standaard-VGA-driver en netwerkkaart-, muis- en toetsenborddrivers bevat. De Pre-Environment is het venster waarmee je tijdens de Windows-setup werkt.
Option verwijderen
Mogelijk wil je zo’n option ook weer verwijderen. Het commando ziet er dan als volgt uit:
system dhcp dhcp-options delete optionname dhcp_magic_ip(234)
DHCP Options weergeven
Met dit commando krijg je een lijst van alle DHCP Options die al op Sophos Firewall zijn gedefinieerd.
system dhcp dhcp-options list
DHCP Option Bindings weergeven
system dhcp dhcp-options binding show dhcpname
- DHCP-NAME: Dit is de naam van de option die je zelf hebt gedefinieerd.
Het werkende commando voor ons voorbeeld ziet er nu zo uit:
system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN